La seguridad de la información es un problema para todas las organizaciones que deben gestionar riesgos de forma efectiva. El Ciclo de Deming (Planificar, Hacer, Verificar, Actuar) es un enfoque de mejora continua que puede aplicarse a la seguridad de la información siguiendo los pasos de analizar riesgos, implementar controles, gestionar incidentes y analizar incidentes para mejorar. La serie de normas ISO 27000 también se basa en este ciclo para ayudar a las organizaciones a mejorar la seguridad de la información.
2. Introducción El aspecto de la seguridad de información afecta a todas las organizaciones de todos los tamaños y sectores con un problema idéntico, su vulnerabilidad inherente. Toda la información que se maneje en la empresa, ya sea en discos, papeles, en la memoria de los empleados, están en riesgo y de cualquier amenaza. La seguridad de Información ya no es un problema solo del los administradores de TI, ya que un infracción de seguridad puede afectar no solo financieramente al organización, si no también su reputación, su capacidad de negociación, rentabilidad, etc. por lo tanto dependerá de su capacidad de gestionar los riesgos de manera eficaz.
4. Ciclo de Deming Circulo PDCA establece los cuatro pasos básicos para la implementación de una Sistemática de mejora continua Plan Do Check Act
5. Seguridad de la Información La seguridad en general, suele estar relacionada con «la protección de algo». Relacionado a la Seguridad de Información puede ser definida como «la protección de información de una amplia gama de amenazas a fin de garantizar la continuidad del negocio, minimizar los riesgos empresariales y maximizar el ROI y de negocios». (ISO/IEC 2005)
7. Relación Conceptual «Para mejorar la Seguridad de Información es necesario que se actué que la organización sobre los incidentes, ya sea por una reevaluación de control de seguridad o los riesgos para la organización.»
8. Mejora continua & SI Para lograr una mejora continua en la Seguridad de información la relación entre estos elementos debe ser vista como un proceso cíclico que puede ser modelado mediante el ciclo de Deming.
22. ¿Por qué surge estándares, normas, etc.? ¿Se podrá seguir trabajando si se produce un siniestro en la oficina de la empresa (sin poseer backup)? ¿Qué ocurrirá si la competencia accede a los estados de balances? ¿Cómo se sabrá si un tercero intercepta el flujo de datos de la red compartida? ¿Podrán robar el código fuente, las agendas, las claves o los futuros proyectos programados? ¿Si alguien accede al centro de control? ¿Podremos seguir trabajando si se origina alguna catástrofe natural?
23. SERIE ISO IEC / 27000 Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan-Do-Check-Act (es una estrategia de mejora continua de la calidad en cuatro pasos: planificar, hacer, verificar y actuar )y términos y definiciones que se emplean en toda la serie 27000.
24.
25.
26.
27. Conclusiones El ciclo de Deming, es un una estrategia de mejora continua, que se aplica en diferentes ámbitos calidad, seguridad, etc. Un SGI cubre ambas partes de un SCI, mediante el uso de PTRs y PAOs y se ajusta al Marco Común PDCA. La serie ISO 27000 se basa en el ciclo PDCA, de tal manera que sus estándares hacen referencia a la retroalimentación, como elemento clave de mejora continua, aunque algunos de estos estándares aun están en desarrollo. Un SGSI recoge todas las recomendaciones del modelo de control interno del Comité de Prácticas de Auditoría.
28. Recomendaciones Las instituciones deben de realizar un proceso basado en el ciclo PDCA, para poder determinar los riesgos, controles, resolver incidentes y ajustar los procedimientos o políticas de seguridad. En los Sistema de Seguridad de Información, también debe considerarse el factor humano y el rol que representa en la organización. Las políticas de seguridad en una organización debe no solo objetivos de TI, sino estos deben alinearse con los objetivos estratégicos de la organización. No es necesario aplicar de manera estricta todo lo mencionado en el estándar ISO 27002, ya que este solo una guía de referencia, la cual será aplicada en una organización por personas con conocimientos profundos en el tema y con vasta experiencia en el campo de seguridad y afines.